Un nuovo e allarmante sviluppo sta scuotendo il panorama della sicurezza informatica: un attore malevolo ha pubblicizzato sul dark webun exploit altamente sofisticato volto a compromettere dispositivi FortiGate.
Si tratta di un nuovo exploit venduto al prezzo di 12.000 dollari per firewall FortiGate che è apparso in vendita sul noto forum underground Exploit. Il post, pubblicato da un utente con lo pseudonimo Anon-WMG, presenta uno strumento capace di compromettere in modo massivo dispositivi Fortinet sfruttando le API esposte.
Caratteristiche tecniche dell’exploit
Denominato “FortiGate API Dump Exploit (~7.2 e versioni inferiori)”, il tool è in grado di interagire con oltre 170 endpoint delle API FortiGate, con compatibilità dichiarata per le versioni 6.x e 5.x, e testato anche su 7.2.6 e precedenti. Le funzionalità includono:
Advertising
Dump automatico da più di 170 endpoint API Fortinet
Estrazione di informazioni sensibili: configurazioni firewall, utenti VPN locali, portali SSL, backup, chiavi SNMP, parametri DNS, HA e NTP
Supporto al multithreading (oltre 20 thread) per scansioni rapide e massicce
Output in formato JSON e file di configurazione strutturati
Headers stealth e modulo di reporting dedicato (“Report Runner”)
Lo strumento prende di mira:
Firewall FortiGate con API esposte (porte predefinite: 443 e 10443)
L’autore sostiene che l’exploit sia in grado di compromettere:
Credenziali di rete interne e amministrative (inclusi hash e password cifrate)
Token attivi SAML/RADIUS/LDAP
Token VPN e ID di sessioni IPSec
Backup completi di configurazione dei dispositivi
Impatto e diffusione e prezzo di vendita
Le implicazioni sono gravi e includono:
Accesso alla rete interna e lateral movement
Furto di configurazioni, backup e credenziali
Compromissione di comunicazioni VPN in corso
Possibilità di escalation attraverso token utente legittimi
Il tool risulta testato su numerose versioni di FortiOS: v6.0.9, 6.2.5, 7.0.4, 7.2.1, 7.2.6, 6.2.x e altre.
Prezzo richiesto: 12.000 dollari
Pagamento in criptovaluta
Trattativa tramite escrow per garantire (almeno formalmente) la transazione
Forniti alcuni sample tramite link temporaneo su “send.exploit.in”
L’autore avverte di contattarlo solo in caso di reale intenzione d’acquisto
Contromisure e raccomandazioni
Le organizzazioni che utilizzano FortiGate devono agire immediatamente, soprattutto se:
Advertising
Le interfacce API sono esposte direttamente su Internet
I dispositivi eseguono versioni obsolete del firmware
I portali VPN/SSL non sono configurati correttamente
Raccomandazioni operative:
Eseguire un audit immediato delle interfacce esposte
Aggiornare tutti i dispositivi alla versione FortiOS più recente e supportata
Limitare l’accesso alle API solo a indirizzi IP interni o autorizzati
Abilitare i log API per individuare attività sospette
Revocare e rigenerare i token VPN attivi, verificando l’integrità delle configurazioni
Conclusioni
La disponibilità di un exploit automatizzato come questo sul mercato underground evidenzia una volta di più quanto sia critico esporre anche solo parzialmente interfacce di gestione non adeguatamente protette. In questo caso, l’accesso non autenticato alle API FortiGate può portare al completo compromesso di una rete.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.